微軟強化檔案總管安全性 封鎖網路下載檔案預覽功能

微軟(Microsoft)宣布從 2025 年 10 月安全更新開始，Windows 11 與 Windows Server 系統的檔案總管(File Explorer)將自動停用來自網際網路檔案的預覽功能，以防範透過惡意文件竊取使用者認證的攻擊。這項變更已隨本月的 Patch Tuesday 安全更新推送至使用者，無需額外操作即可獲得保護。

根據 Microsoft 近日發布的技術支援文件，這項安全強化措施將預設停用兩類檔案的預覽功能：一是位於網際網路區域(Internet Zone)檔案共享上的檔案，二是標記有「檔案標記之網」(Mark of the Web， MotW)的檔案。MotW 是 Windows 用來識別檔案來源的機制，會自動標記透過瀏覽器下載、以電子郵件附件接收，或從其他網際網路來源取得的檔案。

無需互動的攻擊手法促使防護升級

Microsoft 指出，此項變更旨在阻止威脅行為者利用特定漏洞，在使用者預覽包含 HTML 標籤(如 <link>、<src> 等)的檔案時竊取 NTLM 雜湊(NTLM hash)。這些 HTML 標籤可引用攻擊者控制伺服器上的外部路徑，當使用者在檔案總管中選取檔案進行預覽時，系統會自動嘗試連線至外部路徑，過程中洩漏 NTLM 認證雜湊給攻擊者。

這類攻擊手法特別值得關注，因為它只需要使用者在檔案總管中選取檔案即可觸發，完全不需要誘騙目標實際開啟或執行檔案。相較於傳統需要使用者點擊或執行惡意檔案的攻擊，這種攻擊的門檻大幅降低。

使用者體驗：警告訊息取代自動預覽

安裝 2025 年 10 月之後發布的 Windows 安全更新後，當使用者嘗試預覽標記為來自網際網路的檔案時，檔案總管的預覽窗格將顯示警告訊息：「您嘗試預覽的檔案可能會損害您的電腦。如果您信任該檔案及其來源，請開啟它以檢視其內容。」

Microsoft 在技術文件中說明：「從 2025 年 10 月 14 日發布的 Windows 安全更新開始，檔案總管會自動停用從網際網路下載檔案的預覽功能。這項變更旨在透過防止使用者預覽可能不安全的檔案時洩漏 NTLM 雜湊的漏洞，來增強安全性。」

對大多數使用者而言，這項保護措施會隨 10 月安全更新自動啟用，無需採取任何動作。除非使用者經常需要預覽下載的檔案，否則既有工作流程不會受到影響。

企業管理：彈性調整信任設定

對於需要預覽來自已知可信來源檔案的使用者，Microsoft 提供了手動解除封鎖的方式。使用者可在檔案總管中對檔案按右鍵，選擇「內容」(Properties)，然後在「一般」(General)分頁底部點選「解除封鎖」(Unblock)按鈕。不過值得注意的是，此變更可能不會立即生效，可能需要登出後重新登入。

對於 IT 管理者，Microsoft 也提供了更彈性的管理選項。若企業有特定的受信任檔案共享位置，管理者可透過「網際網路選項」控制台的「安全性」分頁，將該檔案共享的位址新增至「信任的網站」(Trusted sites)或「近端內部網路」(Local intranet)安全性區域，即可為該位置的所有檔案解除預覽封鎖。

本文轉載自bleepingcomputer。